Hệ thống phát hiện xâm
nhập(IDS)
Ngô Văn Công
IDS(Intrusion detect system)
Phát hiện ra các cuộc tấn công và thăm dò
máy tính
Ngăn chặn
Phát hiện
Đề phòng các cuộc tấn công
Đánh giá thiệt hại
Instrution detection: quy trình xác định
một sư xâm nhập đã được thử, đang xuất
hiện, hay đã xuất hiện
Các thuật ngữ
Phát hiện xâm nhập(Intrusion detection):
Phát hiện ra các truy cập trái phép vào
máy tính
Phát hiện sự kiện không bình
thường(Anomaly detection)
IDS làm việc như thế nào?
Phát hiện ra xâm nhập
Trong quá khứ
•
Đọc tập tin log sinh ra bởi các hệ thống bảo mật(firewall)
Ngày nay
•
Quy trình xem xét các tập tin log, theo dõi sự hoạt động các
tài nguyên được làm bởi IDS
•
sự sử dụng CPU, I/O ổ đĩa, bộ nhớ và các thao tác người
dùng, số lần đăng nhập hệ thống
IDS
Duy trì một cơ sở dữ liệu các tập tin ký hiệu về các đặc trưng
của các cuộc tấn công
Mọi cuộc tấn công đều có: đặc tính, mẫu và hành vi->ký hiệu
Phát hiện ra cuộc tấn công hay xâm nhập bằng cách so khớp
các dấu hiệu của cuộc tấn công với các tập tin dấu hiệu trong
csdl
(tt)
Lỗi False-positive phát sinh khi mà IDS
xem một hành vi bình thương trên mạng
như là một sự tấn công của hacker
Lỗi False-negative xuất hiện khi IDS bỏ
qua một cuộc xâm nhập vào hệ thống và
xem xét nó như là hành động bình thường
trong mạng
IDS vs Firewall
Thường có sự nhầm lẫn giữa chức năng
của IDS và Firewall
Firewall hoạt động bằng cách ngăn chặn
mọi thứ sau đó người dùng sẽ lập trình để
chó phép một số mục nào đó được đi qua
Firewall cho phép người dùng nội bộ có thể
truy cập ra bên ngoài nhưng ngăn chăn
người dùng bên ngoài truy cập vào hệ
thống mạng nội bộ
Firewall không phải là một hệ thống động
để có thể phán đoán một cuộc tấn công
đang được thực hiện
IDS vs Firewall(tt)
IDS là hệ thống động hơn, nó có khả năng phát hiện
ra các cuộc tấn công vào mạng
Xem xét ví dụ:
Một nhân viên của công ty nhận được email của một nhân viên
khác nói rằng anh ta tìm được một tài liệu đã bị mất từ lâu, nhân
viên mở email mà nhấp chuột vào tập tin thực thi đính kèm, tài
liệu thực thi có một Trojan đính kèm với nó, Trojan sẽ mở một
kết nối đến máy tính của hacker, lúc này firewall sẽ không ngăn
chặn hacker thực hiện cuộc tấn công bằng cổng chung 80 Vì
firewall chỉ cấu hình để ngăn chặn các kết nối ra bên ngoài tới
một số port, nó xem các kết nối HTTP tới webserver chỉ là một
kết nối khác
Nếu hệ thống IDS được cài đặt thì nó có thể đưa ra cảnh
báo như là hành động không thường xuyên trong mạng
Các loại IDS
Để phát hiện được các cuộc xâm nhập IDS
thường dựa trên 2 kỹ thuật sau
Anomaly-Detection Technique
Misuse-Dectection Technique
Anomaly-Detection Technique
Dựa trên giả thuyết là tất cả các hành động không
giống với một tập các mẫu hành vi thì là các hành
động bất thường
IDS nhận biết tiểu sử các hành động bình thường trên
mạng nếu bất kỳ hành vi nào không giống tiểu sử này
thi là môt hành vi không bình thường và đưa ra một
cảnh báo
Tạo một vạch ranh giới cho các hành vi bình thường,
thường được sinh ra dựa thống kê ghi nhận từ hành vì
nhập/xuất, sử dụng CPU, bộ nhớ, hoạt động của người
dùng.
Misuse-Detection Technique
Xem các cuộc tấn cộng như các mẫu và dấu hiệu
Duy trì một cơ sở dữ liệu các dấu hiệu của các cuộc
tấn công
Một cảnh báo phát sinh khi một đợt tấn công nào đó
giống với mẫu trong csdl.
Hoạt động giống như hệ thống antivirus
Không phát sinh lỗi false-positive nhưng không phát
hiện được các kiểu tấn công chưa được phát hiện trước
đó
Các kiểu IDS khác nhau
IDS mạng(Network-based intrusion-
detection systems)
IDS Host(Host-based intrusion-detection
systems)
IDS lai(Hybrid intrusion-detection
systems)
Một số thuất ngữ dùng trong IDS
Màn hình dòng lệnh(Command console)
trung tâm điều khiển của IDS
gồm các công cụ để thiết lập các chính sách
Bộ cảm biến(Sensor)
Tìm kiếm gói tin
Alert Notification
Cảnh báo về một cuộc tấn công(hiện thông báo lên màn hình,
gửi mail)
Response Subsystem
Khi phát hiện tấn công có các hành động phản hồi lại
Database
Hệ thống lưu trữ tất cả các hoạt động ghi nhận từ IDS
IDS mạng
Bao gồm các bộ cảm biến được triển khai
trên toàn bộ mạng để theo dõi và phân
tích các gói tin đi qua mạng sau đó chuyển
kết quả về cho màn hình dòng lệnh
Traditional Sensor Architecture
Distributed network-node architecture
Traditional Sensor
Bộ cảm biến gắn vào mạng và bắt các gói tin
của mạng
Traditional sensor architecture
Các bước một gói tin đi qua IDS mạng
1. Khi máy tính muốn trao đổi dữ liệu với máy tính khác thì quá
trình trao đổi dữ liệu bắt đầu
2. Các gói tin sẽ được lắng nghe trên mạng thông qua các bộ
cảm biến trên mạng
3. Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin với các
mẫu định nghĩa trước, nếu giống nhau thì một cảnh báo sẽ
được đưa ra và chuyển đến màn hình dòng lệnh
4. Thông qua màn hình dòng lệnh bộ phận bảo mật sẽ cảnh
báo thông qua các phương thức khác nhau: email, SNMP.
5. Một câu trả lời sẽ được phát sinh môt cách tự động hoặc bởi
bộ phận bảo mật
6. Một mẫu sẽ được lưu trữ để sau này có thể xem lại và đánh
giá
7. Tạo ra báo cáo tóm tắt các hành đông của tin tặc
IDS mạng
Distributed Network-Node Architecture
Bộ cảm biến gắn vào mỗi máy tính trên
mạng
Mỗi bộ cảm biến chỉ quan tâm đến các gói
tin đến máy của mình
Bộ cảm biến sau đó sẽ giao tiếp với màn
hình dòng lệnh để đưa ra các cảnh báo
(tt)
Các bước gói tin trong giải pháp thứ 2
1. Khi một máy tinh muốn giao tiếp với máy tính khác, gói
tin sẽ được trao đổi
2. Gói tin sau đó sẽ bị lắng nghe trên mạng bằng các bộ
cảm biến gắn trên máy tính đích
3. Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin này
với các mẫu định nghĩa trước, nếu tương đương thì một
cảnh báo sẽ được đưa ra
4. Thông qua mành hình dòng lệnh, bộ phận bảo mật se
thông báo cho người dùng
5. Một câu trả lời sẽ được phát sinh tự động bởi hệ thống
trả lời
6. Lưu trữ cảnh báo(mẫu) để xem lại và đánh giá sau này
7. Tạo ra báo cáo tổng kết đặc tính của hoạt động
(tt)
Cách thức hoạt động IDS mạng
Tip-off
Phát hiện ra xâm nhập vào mạng tại thời điểm
mà nó được thực hiện
Surveillance
Quan sát các hành vi của một tập các thành
phần trên mạng
Lợi ích từ IDS mạng
Cản trở(Deterrence)
Phát hiện(Detection)
Cơ chế thông báo và trả lời tự động
Cấu hình lại firewall/router
Hủy bỏ kết nối
IDS Host
IDS Host dùng các thông tin của máy tính
đích(host)
Dữ liệu nguồn
Các sự kiện hệ thống(System event log)
Các sự kiện ứng dụng(Application Log)
Hiệu quả phát hiện các xâm nhập bên
trong mạng
Tấn công được phát hiện bởi IDS host
Lạm dụng đặc quyền(misuse of privileged
rights): xuất hiện khi người dùng được cấp
quyền root, admin và dùng quyền này vào
mục đích không hợp pháp
Sử dụng sai đặc quyền cao:Quản trị hệ
thống thường cấp đặc quyền cao cho
người dùng để họ có thể cài đặt các ứng
dụng đặc biệt
Kiến trúc IDS host
Có hai kiến trúc cho IDS host
Target Agent
•
Là một chương trình nhỏ chạy ở trên máy đích.
agent trên máy đích cho phép hệ thống đích thực
hiện các họat động có đặc quyền cục bộ
•
Chạy như tiến trình nền trong Unix và như dịch vụ
trong window
•
Chạy một hoặc nhiều agent trên hệ thống đích
Centralized Host-Based Architecture
Centralized Host-Based Architecture
Cách thức hoạt động
1. Khi một hành động được thực hiện trong hệ
thống(file đang được truy cập hay là một chương trình
đang chạy) thì một sự kiện được tạo ra
2. Agent của hệ thống đích sẽ gửi tệp tới trung tâm
điều khiển cách một khoảng thời gian và trên đường
truyền bảo mật
3. Bộ máy phát hiện sẽ so sánh mẫu hành vi của tập
tin với những hành vi được định nghĩa trước
5. Nếu như hành vi mà trùng với các mẫu hành vi đã
định nghĩa trước, một cảnh báo sẽ được sinh ra và
chuyển cho các hệ thống con để đưa ra các thông báo,
trả lời và lưu trữ
6. Văn phòng bảo mật sẽ đưa ra thông báo thông wa
các phương tiện truyền thông(giấy tờ, email )
7. Đưa ra một câu trả lời
8. Cảnh báo được lưu trong csdl
10. Report sẽ được phát sinh, tổng kết cảnh báo và
các sự kiện